AWS - Firewall Manager Enum

Firewall Manager

AWS Firewall Manager stroomlyn die bestuur en onderhoud van AWS WAF, AWS Shield Advanced, Amazon VPC sekuriteitsgroepe en Netwerk Toegang Beheer Lyste (ACLs), en AWS Netwerk Firewall, AWS Route 53 Resolver DNS Firewall en derdeparty vuurmure oor verskeie rekeninge en hulpbronne. Dit stel jou in staat om jou vuurmuur reëls, Shield Advanced beskermings, VPC sekuriteitsgroepe, en Netwerk Firewall instellings net een keer te konfigureer, met die diens wat hierdie reëls en beskermings outomaties afdwing oor jou rekeninge en hulpbronne, insluitend nuut bygevoegde.

Die diens bied die vermoë om spesifieke hulpbronne saam te groepeer en te beskerm, soos dié wat 'n gemeenskaplike etiket deel of al jou CloudFront verspreidings. 'n Belangrike voordeel van Firewall Manager is sy vermoë om outomaties beskerming uit te brei na nuut bygevoegde hulpbronne in jou rekening.

'n Reëlgroep (n versameling van WAF reëls) kan in 'n AWS Firewall Manager Beleid ingesluit word, wat dan aan spesifieke AWS hulpbronne soos CloudFront verspreidings of toepassingslaaibalansers gekoppel word.

AWS Firewall Manager bied bestuurde toepassings- en protokollyste om die konfigurasie en bestuur van sekuriteitsgroepbeleide te vereenvoudig. Hierdie lyste stel jou in staat om die protokolle en toepassings wat deur jou beleide toegelaat of geweier word, te definieer. Daar is twee tipes bestuurde lyste:

• Firewall Manager bestuurde lyste: Hierdie lyste sluit FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed en FMS-Default-Protocols-Allowed in. Hulle word deur Firewall Manager bestuur en sluit algemeen gebruikte toepassings en protokolle in wat aan die algemene publiek toegelaat of geweier moet word. Dit is nie moontlik om hulle te redigeer of te verwyder nie, maar jy kan sy weergawe kies.

• Pasgemaakte bestuurde lyste: Jy bestuur hierdie lyste self. Jy kan pasgemaakte toepassings- en protokollyste skep wat op jou organisasie se behoeftes afgestem is. Anders as Firewall Manager bestuurde lyste, het hierdie lyste nie weergawes nie, maar jy het volle beheer oor pasgemaakte lyste, wat jou toelaat om hulle te skep, te redigeer en te verwyder soos benodig.

Dit is belangrik om te noem dat Firewall Manager beleide slegs "Blok" of "Tel" aksies vir 'n reëlgroep toelaat, sonder 'n "Toelaat" opsie.

Voorvereistes

Die volgende voorvereiste stappe moet voltooi word voordat jy voortgaan om Firewall Manager te konfigureer om jou organisasie se hulpbronne effektief te beskerm. Hierdie stappe bied die fundamentele opstelling wat benodig word vir Firewall Manager om sekuriteitsbeleide af te dwing en nakoming oor jou AWS omgewing te verseker:

1. Sluit aan en konfigureer AWS Organisasies: Verseker dat jou AWS rekening deel is van die AWS Organisasies organisasie waar die AWS Firewall Manager beleide beplan word om geïmplementeer te word. Dit stel sentrale bestuur van hulpbronne en beleide oor verskeie AWS rekeninge binne die organisasie moontlik.

2. Skep 'n AWS Firewall Manager Standaard Administrateur Rekening: Stel 'n standaard administrateur rekening op spesifiek vir die bestuur van Firewall Manager sekuriteitsbeleide. Hierdie rekening sal verantwoordelik wees vir die konfigurasie en afdwinging van sekuriteitsbeleide oor die organisasie. Slegs die bestuursrekening van die organisasie kan Firewall Manager standaard administrateur rekeninge skep.

3. Aktiveer AWS Config: Aktiveer AWS Config om Firewall Manager van die nodige konfigurasie data en insigte te voorsien wat benodig word om sekuriteitsbeleide effektief af te dwing. AWS Config help om hulpbron konfigurasies en veranderinge te analiseer, te oudit, te monitor en te oudit, wat beter sekuriteitsbestuur fasiliteer.

4. Vir Derdeparty Beleide, Subskribere in die AWS Marketplace en Konfigureer Derdeparty Instellings: As jy van plan is om derdeparty vuurmuurbeleide te gebruik, subskribere op hulle in die AWS Marketplace en konfigureer die nodige instellings. Hierdie stap verseker dat Firewall Manager kan integreer en beleide van vertroude derdeparty verskaffers kan afdwing.

5. Vir Netwerk Firewall en DNS Firewall Beleide, aktiveer hulpbrondeling: Aktiveer hulpbrondeling spesifiek vir Netwerk Firewall en DNS Firewall beleide. Dit stel Firewall Manager in staat om vuurmuur beskermings toe te pas op jou organisasie se VPCs en DNS resolusie, wat netwerk sekuriteit verbeter.

6. Om AWS Firewall Manager in Streke te gebruik wat standaard gedeaktiveer is: As jy van plan is om Firewall Manager in AWS streke te gebruik wat standaard gedeaktiveer is, verseker dat jy die nodige stappe neem om sy funksionaliteit in daardie streke te aktiveer. Dit verseker konsekwente sekuriteitsafdwinging oor alle streke waar jou organisasie opereer.

Vir meer inligting, kyk: Begin met AWS Firewall Manager AWS WAF beleide.

Tipes beskermingsbeleide

AWS Firewall Manager bestuur verskeie tipes beleide om sekuriteitsbeheer oor verskillende aspekte van jou organisasie se infrastruktuur af te dwing:

1. AWS WAF Beleid: Hierdie beleids tipe ondersteun beide AWS WAF en AWS WAF Classic. Jy kan definieer watter hulpbronne deur die beleid beskerm word. Vir AWS WAF beleide, kan jy stelle van reëlgroepe spesifiseer om eerste en laaste in die web ACL te loop. Daarbenewens kan rekening eienaars reëls en reëlgroepe byvoeg om tussen hierdie stelle te loop.

2. Shield Advanced Beleid: Hierdie beleid pas Shield Advanced beskermings oor jou organisasie toe vir gespesifiseerde hulpbron tipes. Dit help om teen DDoS aanvalle en ander bedreigings te beskerm.

3. Amazon VPC Sekuriteitsgroep Beleid: Met hierdie beleid kan jy sekuriteitsgroepe bestuur wat deur jou organisasie gebruik word, en 'n basislyn stel van reëls oor jou AWS omgewing afdwing om netwerk toegang te beheer.

4. Amazon VPC Netwerk Toegang Beheer Lys (ACL) Beleid: Hierdie beleids tipe gee jou beheer oor netwerk ACLs wat in jou organisasie gebruik word, wat jou toelaat om 'n basislyn stel van netwerk ACLs oor jou AWS omgewing af te dwing.

5. Netwerk Firewall Beleid: Hierdie beleid pas AWS Netwerk Firewall beskerming toe op jou organisasie se VPCs, wat netwerk sekuriteit verbeter deur verkeer te filter op grond van vooraf gedefinieerde reëls.

6. Amazon Route 53 Resolver DNS Firewall Beleid: Hierdie beleid pas DNS Firewall beskermings toe op jou organisasie se VPCs, wat help om kwaadwillige domein resolusie pogings te blokkeer en sekuriteitsbeleide vir DNS verkeer af te dwing.

7. Derdeparty Vuurmuur Beleid: Hierdie beleids tipe pas beskermings van derdeparty vuurmuur toe, wat deur subskripsie beskikbaar is deur die AWS Marketplace konsol. Dit stel jou in staat om bykomende sekuriteitsmaatreëls van vertroude verskaffers in jou AWS omgewing te integreer.

8. Palo Alto Networks Cloud NGFW Beleid: Hierdie beleid pas Palo Alto Networks Cloud Next Generation Firewall (NGFW) beskermings en reëlstapels toe op jou organisasie se VPCs, wat gevorderde bedreigingsvoorkoming en toepassingsvlak sekuriteitsbeheer bied.

9. Fortigate Cloud Native Firewall (CNF) as 'n Diens Beleid: Hierdie beleid pas Fortigate Cloud Native Firewall (CNF) as 'n Diens beskermings toe, wat industrie-leidende bedreigingsvoorkoming, webtoepassing vuurmuur (WAF), en API beskerming bied wat op wolkinfrastrukture afgestem is.

Administrateur rekeninge

AWS Firewall Manager bied buigsaamheid in die bestuur van vuurmuur hulpbronne binne jou organisasie deur sy administratiewe omvang en twee tipes administrateur rekeninge.

Administratiewe omvang definieer die hulpbronne wat 'n Firewall Manager administrateur kan bestuur. Nadat 'n AWS Organisasies bestuursrekening 'n organisasie aan Firewall Manager aanmeld, kan dit addisionele administrateurs met verskillende administratiewe omvange skep. Hierdie omvange kan insluit:

• Rekeninge of organisatoriese eenhede (OUs) waaraan die administrateur beleide kan toepas.

• Streke waar die administrateur aksies kan uitvoer.

• Firewall Manager beleids tipes wat die administrateur kan bestuur.

Administratiewe omvang kan of volledig of beperk wees. Volledige omvang gee die administrateur toegang tot alle gespesifiseerde hulpbron tipes, streke, en beleids tipes. In teenstelling hiermee, beperkte omvang bied administratiewe toestemming slegs aan 'n subset van hulpbronne, streke, of beleids tipes. Dit is raadsaam om administrateurs slegs die toestemmings te gee wat hulle nodig het om hul rolle effektief te vervul. Jy kan enige kombinasie van hierdie administratiewe omvang toestande op 'n administrateur toepas, wat nakoming van die beginsel van minste voorreg verseker.

Daar is twee duidelike tipes administrateur rekeninge, elk met spesifieke rolle en verantwoordelikhede:

• Standaard Administrateur:

• Die standaard administrateur rekening word deur die AWS Organisasies organisasie se bestuursrekening tydens die aanmeldproses na Firewall Manager geskep.

• Hierdie rekening het die vermoë om derdeparty vuurmure te bestuur en het volle administratiewe omvang.

• Dit dien as die primêre administrateur rekening vir Firewall Manager, verantwoordelik vir die konfigurasie en afdwinging van sekuriteitsbeleide oor die organisasie.

• Terwyl die standaard administrateur volle toegang tot alle hulpbron tipes en administratiewe funksies het, werk dit op dieselfde gelyke vlak as ander administrateurs as verskeie administrateurs binne die organisasie gebruik word.

• Firewall Manager Administrateurs:

• Hierdie administrateurs kan hulpbronne bestuur binne die omvang wat deur die AWS Organisasies bestuursrekening aangewys is, soos gedefinieer deur die administratiewe omvang konfigurasie.

• Firewall Manager administrateurs word geskep om spesifieke rolle binne die organisasie te vervul, wat die delegasie van verantwoordelikhede moontlik maak terwyl sekuriteit en nakomingstandaarde gehandhaaf word.

• By die skepping, kontroleer Firewall Manager met AWS Organisasies om te bepaal of die rekening reeds 'n gedelegeerde administrateur is. As nie, bel Firewall Manager Organisasies om die rekening as 'n gedelegeerde administrateur vir Firewall Manager aan te dui.

Die bestuur van hierdie administrateur rekeninge behels om hulle binne Firewall Manager te skep en hul administratiewe omvange te definieer volgens die organisasie se sekuriteitsvereistes en die beginsel van minste voorreg. Deur toepaslike administratiewe rolle toe te ken, kan organisasies effektiewe sekuriteitsbestuur verseker terwyl hulle fyn beheer oor toegang tot sensitiewe hulpbronne handhaaf.

Dit is belangrik om te beklemtoon dat slegs een rekening binne 'n organisasie as die Firewall Manager standaard administrateur kan dien, wat die beginsel van "eerste in, laaste uit" volg. Om 'n nuwe standaard administrateur aan te dui, moet 'n reeks stappe gevolg word:

• Eerstens, elke Firewall Administrateur administrateur rekening moet hul eie rekening herroep.

• Dan kan die bestaande standaard administrateur hul eie rekening herroep, wat effektief die organisasie van Firewall Manager afmeld. Hierdie proses lei tot die verwydering van alle Firewall Manager beleide wat deur die herroepte rekening geskep is.

• Om af te sluit, moet die AWS Organisasies bestuursrekening die Firewall Manager standaard administrateur aanwys.

Enumeration

# Users/Administrators

## Get the AWS Organizations account that is associated with AWS Firewall Manager as the AWS Firewall Manager default administrator
aws fms get-admin-account

## List of Firewall Manager administrators within the organization
aws fms list-admin-accounts-for-organization # ReadOnlyAccess policy is not enough for this

## Return a list of the member accounts in the FM administrator's AWS organization
aws fms list-member-accounts # Only a Firewall Manager administrator or the Organization's management account can make this request

## List the accounts that are managing the specified AWS Organizations member account
aws fms list-admins-managing-account # ReadOnlyAccess policy is not enough for this

# Resources

## Get the resources that a Firewall Manager administrator can manage
aws fms get-admin-scope --admin-account <value> # ReadOnlyAccess policy is not enough for this

## Returns the summary of the resource sets used
aws fms list-resource-sets # ReadOnlyAccess policy is not enough for this

## Get information about a specific resource set
aws fms get-resource-set --identifier <value>  # ReadOnlyAccess policy is not enough for this

## Retrieve the list of tags for a given resource
aws fms list-tags-for-resource --resource-arn <value>

## List of the resources in the AWS Organization's accounts that are available to be associated with a FM resource set. Only one account is supported per request.
aws fms list-compliance-status --member-account-ids <value> --resource-type <value> # ReadOnlyAccess policy is not enough for this

## List the resources that are currently associated to a resource set
aws fms list-resource-set-resources --identifier <value> # ReadOnlyAccess policy is not enough for this

# Policies

## Returns the list of policies
aws fms list-policies

## Get information about the specified AWS Firewall Manager policy
aws fms get-policy --policy-id <value>

## List all of the third-party firewall policies that are associated with the third-party firewall administrator's account
aws fms list-third-party-firewall-firewall-policies --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

# AppsList

## Return a list of apps list
aws fms list-apps-lists --max-results [1-100]

## Get information about the specified AWS Firewall Manager applications list
aws fms get-apps-list --list-id <value>

# Protocols

## Get the details of the Firewall Manager protocols list.
aws fms list-protocols-lists

## Get information about the specified AWS Firewall Manager Protocols list
aws fms get-protocols-list --list-id <value>

# Compliance

## Return a summary of which member accounts are protected by the specified policy
aws fms list-compliance-status --policy-id <policy-id>

## Get detailed compliance information about the specified member account (resources that are in and out of compliance with the specified policy)
aws fms get-compliance-detail --policy-id <value> --member-account <value>

# Other useful info

## Get information about the SNS topic that is used to record AWS Firewall Manager SNS logs (if any)
aws fms get-notification-channel

## Get policy-level attack summary information in the event of a potential DDoS attack
aws fms get-protection-status --policy-id <value> # Just for Shield Advanced policy

## Get the onboarding status of a Firewall Manager admin account to third-party firewall vendor tenant.
aws fms get-third-party-firewall-association-status --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

## Get violations' details for a resource based on the specified AWS Firewall Manager policy and AWS account.
aws fms get-violation-details --policy-id <value> --member-account <value> --resource-id <value> --resource-type <value>

Post Exploitation / Bypass Detection

organizations:DescribeOrganization & (fms:AssociateAdminAccount, fms:DisassociateAdminAccount, fms:PutAdminAccount)

'n Aanvaller met die fms:AssociateAdminAccount toestemming sal in staat wees om die Firewall Manager standaard administrateur rekening in te stel. Met die fms:PutAdminAccount toestemming, sal 'n aanvaller in staat wees om 'n Firewall Manager administrateur rekening te skep of op te dateer en met die fms:DisassociateAdminAccount toestemming, kan 'n potensiële aanvaller die huidige Firewall Manager administrateur rekening assosiasie verwyder.

• Die disassosiasie van die Firewall Manager standaard administrateur volg die eerste-in-laatste-uit beleid. Alle Firewall Manager administrateurs moet disassosieer voordat die Firewall Manager standaard administrateur die rekening kan disassosieer.

• Ten einde 'n Firewall Manager administrateur te skep deur PutAdminAccount, moet die rekening aan die organisasie behoort wat voorheen by Firewall Manager on-board is met behulp van AssociateAdminAccount.

• Die skepping van 'n Firewall Manager administrateur rekening kan slegs deur die organisasie se bestuursrekening gedoen word.

aws fms associate-admin-account --admin-account <value>
aws fms disassociate-admin-account
aws fms put-admin-account --admin-account <value>

Potensiële Impak: Verlies van gesentraliseerde bestuur, beleidsontduiking, nakomingsoortredings, en ontwrigting van sekuriteitsbeheer binne die omgewing.

fms:PutPolicy, fms:DeletePolicy

'n Aanvaller met die fms:PutPolicy, fms:DeletePolicy toestemmings sal in staat wees om 'n AWS Firewall Manager beleid te skep, te wysig of permanent te verwyder.

aws fms put-policy --policy <value> | --cli-input-json file://<policy.json> [--tag-list <value>]
aws fms delete-policy --policy-id <value> [--delete-all-policy-resources | --no-delete-all-policy-resources]

'n Voorbeeld van 'n toelaatbare beleid deur 'n toelaatbare sekuriteitsgroep, ten einde die opsporing te omseil, kan die volgende wees:

{
"Policy": {
"PolicyName": "permisive_policy",
"SecurityServicePolicyData": {
"Type": "SECURITY_GROUPS_COMMON",
"ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"securityGroups\":[{\"id\":\"<permisive_security_group_id>\"}], \"applyToAllEC2InstanceENIs\":\"true\",\"IncludeSharedVPC\":\"true\"}"
},
"ResourceTypeList": ["AWS::EC2::Instance", "AWS::EC2::NetworkInterface", "AWS::EC2::SecurityGroup", "AWS::ElasticLoadBalancingV2::LoadBalancer", "AWS::ElasticLoadBalancing::LoadBalancer"],
"ResourceType": "AWS::EC2::SecurityGroup",
"ExcludeResourceTags": false,
"ResourceTags": [],
"RemediationEnabled": true
},
"TagList": []
}

Potensiële Impak: Ontmanteling van sekuriteitsbeheer, beleidsontduiking, nakomingsoortredings, operasionele ontwrigtings, en potensiële datalekke binne die omgewing.

fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSet

'n Aanvaller met die fms:BatchAssociateResource en fms:BatchDisassociateResource toestemmings sou in staat wees om hulpbronne onderskeidelik aan 'n Firewall Manager hulpbronstel te assosieer of te disassosieer. Daarbenewens sou die fms:PutResourceSet en fms:DeleteResourceSet toestemmings 'n aanvaller in staat stel om hierdie hulpbronstelle van AWS Firewall Manager te skep, te wysig of te verwyder.

# Associate/Disassociate resources from a resource set
aws fms batch-associate-resource --resource-set-identifier <value> --items <value>
aws fms batch-disassociate-resource --resource-set-identifier <value> --items <value>

# Create, modify or delete a resource set
aws fms put-resource-set --resource-set <value> [--tag-list <value>]
aws fms delete-resource-set --identifier <value>

Potensiële Impak: Die toevoeging van 'n onnodige hoeveelheid items aan 'n hulpbronstel sal die vlak van geraas in die Diens verhoog, wat moontlik 'n DoS kan veroorsaak. Daarbenewens kan veranderinge aan die hulpbronstelle lei tot 'n hulpbrononderbreking, beleidsontduiking, nakomingsoortredings, en onderbreking van sekuriteitsbeheer binne die omgewing.

fms:PutAppsList, fms:DeleteAppsList

'n Aanvaller met die fms:PutAppsList en fms:DeleteAppsList toestemmings sal in staat wees om toepassingslyste van AWS Firewall Manager te skep, te wysig of te verwyder. Dit kan krities wees, aangesien nie-geautoriseerde toepassings toegang tot die algemene publiek mag kry, of toegang tot geautoriseerde toepassings mag ontken word, wat 'n DoS kan veroorsaak.

aws fms put-apps-list --apps-list <value> [--tag-list <value>]
aws fms delete-apps-list --list-id <value>

Potensiële Impak: Dit kan lei tot verkeerde konfigurasies, beleidsontduiking, nakomingsoortredings, en onderbreking van sekuriteitsbeheer binne die omgewing.

fms:PutProtocolsList, fms:DeleteProtocolsList

'n Aanvaller met die fms:PutProtocolsList en fms:DeleteProtocolsList regte sal in staat wees om protokollys te skep, te wysig of te verwyder vanaf AWS Firewall Manager. Net soos met toepassingslyste, kan dit krities wees aangesien ongeoorloofde protokolle deur die algemene publiek gebruik kan word, of die gebruik van geoorloofde protokolle kan ontken word, wat 'n DoS kan veroorsaak.

aws fms put-protocols-list --apps-list <value> [--tag-list <value>]
aws fms delete-protocols-list --list-id <value>

Potensiële Impak: Dit kan lei tot verkeerde konfigurasies, beleidsontduiking, nakomingsoortredings, en onderbreking van sekuriteitsbeheer binne die omgewing.

fms:PutNotificationChannel, fms:DeleteNotificationChannel

'n Aanvaller met die fms:PutNotificationChannel en fms:DeleteNotificationChannel toestemmings sal in staat wees om die IAM-rol en Amazon Simple Notification Service (SNS) onderwerp wat Firewall Manager gebruik om SNS-logs te registreer, te verwyder en aan te dui.

Om fms:PutNotificationChannel buite die konsole te gebruik, moet jy die SNS-onderwerp se toegangbeleid opstel, wat die gespesifiseerde SnsRoleName toelaat om SNS-logs te publiseer. As die verskafde SnsRoleName 'n rol anders as die AWSServiceRoleForFMS is, vereis dit 'n vertrouensverhouding wat geconfigureer is om die Firewall Manager dienshoof fms.amazonaws.com toe te laat om hierdie rol aan te neem.

Vir inligting oor die konfigurasie van 'n SNS-toegangbeleid:

aws fms put-notification-channel --sns-topic-arn <value> --sns-role-name <value>
aws fms delete-notification-channel

Potensiële Impak: Dit kan potensieel lei tot gemiste sekuriteitswaarskuwings, vertraagde insidentrespons, potensiële datalekke en operasionele ontwrigtings binne die omgewing.

fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall

'n Aanvaller met die fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall toestemmings sal in staat wees om derdeparty-vuurmure te assosieer of te dissosieer van sentrale bestuur deur AWS Firewall Manager.

aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]
aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]

Potensiële Impak: Die dissosiasie sou lei tot 'n beleidsontduiking, nakomingsvergrype, en ontwrigting van sekuriteitsbeheer binne die omgewing. Die assosiasie aan die ander kant sou lei tot 'n ontwrigting van koste- en begrotingstoewysing.

fms:TagResource, fms:UntagResource

'n Aanvaller sou in staat wees om etikette by Firewall Manager hulpbronne te voeg, te wysig of te verwyder, wat jou organisasie se koste-toewysing, hulpbronopsporing, en toegangbeheerbeleide gebaseer op etikette ontwrig.

aws fms tag-resource --resource-arn <value> --tag-list <value>
aws fms untag-resource --resource-arn <value> --tag-keys <value>

Potensiële Impak: Ontwrichting van koste-toewysing, hulpbronopsporing, en etiket-gebaseerde toegangbeheerbeleide.

Verwysings

• https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-fms.html

• https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html

• https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html